直播作为近来新兴的互动形态和今年阿里巴巴双十一的一大亮点，其内容风险监控是一个全新的课题，技术的挑战非常大，管控难点主要包括业界缺乏成熟方案和标准、主播行为、直播内容不可控、峰值期间数千路高并发处理、对算法的高实时响应要求等等。

进攻即是最好的防御，这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站，不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员，通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助！若有其他的补充和推荐，欢迎给小编留言（排名不分先后）

iOS security is far more fragile than you believe. And there are lots of critical and exploitable iOS vulnerabilities in the wild. We summarized these critical iOS vulnerabilities which can be used for remote code execution or jailbreaking in this report. Hopefully, it can bring some help for you...

iOS的安全性远比大家的想象中脆弱，除了没有公开的漏洞以外，还有很多已经公开并且可被利用的漏洞，本报告总结了2016年比较严重的iOS漏洞（可用于远程代码执行或越狱），希望能够对大家移动安全方面的工作和研究带来一些帮助。

阿里聚安全根据《国家信息安全漏洞库（CNNVD）技术支撑单位计划指南》相关规定，向国家信息安全漏洞库（CNNVD）运行管理中心，提交“阿里巴巴（中国）网络技术有限公司”为主体申请成为“CNNVD技术支撑单位”的公司。

随着软件系统越来越复杂，软件漏洞变得无法避免。业界逐渐推出了让漏洞无法利用或利用难度提高的方法，简称漏洞缓解技术。我们简单介绍下Android和iOS中广泛使用的一些漏洞缓解及可能的绕过技术。当然这里也包含一些相关联的安全限制，而非真正意义的缓解技术。

有幸参加今年11月份的上海Syscan360安全会议，会议期间有一个亮点就是360的独角兽团队设计了一款电子badge(胸牌)供参加人员进行破解尝试，类似于美国Defcon上面的那种解密puzzle的比赛，在参会现场的人都可以参加这种破解，总共9道题，规则是现场会给每道题谜面，在这块胸牌上面输入正确的谜底才能进入下一题，解题需要...

在这个移动互联网大行其道的年代，人们不用互相见面就可以完成很多事情，比如社交、购物、网上开店、金融交易等等，但是如何验证身份变成了人和人在不见面的情况下最难的事情。传统的解决方案就是密码或者秘钥，它需要你记住或者存起来，容易忘又容易丢，还容易被黑客利用各种手段攻击。有多少人使用“123456“这种简单密...

众所周知，虽然JavaScript是个很灵活的语言，浏览器里很多原生的方法都可以随意覆盖或者重写，比如alert。但是为了保证网页的安全性和网页制作者的一定控制权，有些浏览器对象是无法更改的，比如“window.location”对象，或者对它们的更改是无效的，比如”window.navigator”对象。然而，最近我发现Chrome出现了一个小“bug”...

同时，阿里聚漏洞扫描器有一个检测项叫未使用地址空间随机化技术, 该检测项会分析APP中包含的ELF文件判断它们是否使用了该项技术。如果APP中存在该项漏洞则会降低缓冲区溢出攻击的门槛。

就在11月28日，又一起勒索事件出现 —— 旧金山MUNI城市捷运系统受到勒索加密勒索软件攻击，所有的售票站点都显示出“你被攻击了，所有数据都被加密“，攻击者发出公告索要100比特币，也就是70000多美元。

“阿里聚安全攻防挑战赛” 已成功举办过两届，并逐渐成为安全行业经典赛事品牌，本届更是推出史上最强权威导师助阵，是业界不可错过的年度盛事！挑战赛主要让参赛选手真实的挑战阿里巴巴移动安全和业务安全的防御。本次挑战赛奖励丰厚，总奖金累计20万，还有定制礼品等你来拿！

互联网业务的飞速发展，日渐渗透人类的生活，对经济、文化、社会产生巨大的影响，同时互联网业务安全也日趋重要。如同网络通信的基础安全设施防火墙，互联网业务安全也有其基础安全设施－－图片验证码和短信验证码。在互联网业务中，广泛使用图形验证码用于区分人类和机器，使用短信验证码过滤低价值用户及提供二次校验...

互联网发展20多年，大家都习惯了在浏览器地址里输入HTTP格式的网址。但前两年，HTTPS逐渐取代HTTP，成为传输协议界的“新宠”。​早在2014年，由网际网路安全研究组织Internet Security Research Group(ISRG)负责营运的 “Let's Encrypt”项目就成立了，意在推动全球网站的全面HTTPS化；今年6月，苹果也要求所有IOS Apps在201...

折腾了一段时间的Android加固，看了很多大牛的文章，收获还是蛮大的，不过好像大部分的文章都是直接写在哪里下断点如何修复之类的，写出如何找到这个脱壳点的文章还是比较少，所以我准备整理一下这部分的知识，讲讲如何找到脱壳点，希望能和大家多交流

如果你是网络安全从业人员，其中重要的工作便是了解安全行业的最新资讯以及技术趋势，那么浏览各大安全博客网站或许是信息来源最好的方法之一。最近有国外网站对50多个互联网安全博客做了相关排名，小编整理其中排名前30的安全博客，希望能给大家带来一些帮助。

本次沙龙的主要议题是分享互联网业务安全趋势及应对方案、技术实践深度解析等等。当然还有现场互动问答环节，不仅可以解决困扰各位的疑难杂症，还能了解到阿里安全最新的技术知识，一起边学边玩，精彩不容错过！

众所周知，在XSS的实战对抗中，由于防守方经常会采用各种各样严格的过滤手段来过滤输入，所以我们使用的XSS Payload也会根据实际情况作出各种各样的调整，最常见的如避免括号，避免引号，避免关键字等，以绕开过滤函数的检查，从而成功将代码注入到网页中运行。

看完《验证码的前世今生（前世篇）》也许第一感觉就是Winter is coming，互联网的人机对抗到了最黑暗的时刻。柳暗花明又一村，最黑暗的时刻也是光明即将来临的时刻——在传统验证码的末日新的反向图灵测试机制浴火重生。

**ROP的全称为Return-oriented programming（返回导向编程），这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御（比如内存不可执行和代码签名等）。上次我们主要讨论了linux_x86的ROP攻击：《一步一步学ROP之linux_x86篇》，在这次的教程中我们会带来上一篇的补充以及linux_x64方面的ROP利用方法，欢...

常在网上晃悠的人，对上面这张图都不会陌生。特别是在注册新账号、确认交易时，它们都会频繁出现，要求我们输入正确的验证码，那这些看上去跟我们要做的事情完全无关的验证码到底有何作用呢？​

现今，技术引领的商业变革已无缝渗透入我们的日常生活，「技术改变生活」的开发者们被推向了创新浪潮的顶端。国内知名的开发者技术社区 SegmentFault 至今已有四年多了，自技术问答开始，他们已经发展成为一个问答、专栏、笔记、头条以及线下活动等多产品线的技术交流平台。到目前为止，SegmentFault 已成功举办 40 多场...

大家肯定知道前几天刚爆出来一个linux内核(Android也用的linux内核)的dirtycow漏洞。此洞可以说是个神洞，通过dirtycow，一个普通权限的app可以做到root权限的文件任意写，随后还可以转化为android上的通用root。就在大家纷纷埋头研究dirtycow的时候，Drammer横空出世，号称也可以root最新版的Android 6.0.1，同时还放出...

阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测，采用的是静态分析加动态模糊测试的方法来检测，检测结果准确全面。本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法。

近日，阿里移动安全收到多方用户反馈，手机中了一种难以清除的病毒。病毒一旦发作，设备将不断弹出广告，并自动下载、安装、启动恶意应用，最终设备衰竭而死，用户很难通过常规的卸载手段清除病毒。由于该病毒有多个版本演变并有起死回生之术，我们将该病毒命名为“九头虫”。

最近Google又推出了两款有关CSP利用的小工具，其一为CSP Evaluator，这是一个能够评估你当前输入的CSP能否帮助你有效避免XSS攻击的工具，其用法非常简单，在输入框中输入你当前设置或将要设置的CSP值，选择需要验证的CSP版本，然后按下“CHECK CSP”即可。不知道CSP是什么的同学，可以看下阿里聚安全博客以前推送的一篇文...

2016杭州·云栖大会将在10月13日-16日，在杭州云栖小镇国际会议中心隆重举办为期4天的云计算狂欢盛宴。大会主题精彩丰富，聚焦探讨云计算、大数据、人工智能、互联网安全、智慧生活、物联网、企业服务等前沿科技与热门话题。各路互联网精英与行业大咖蜂拥齐聚，共同见证这场无与伦比的互联网盛会，一起感受前沿科技成果的...

阿里聚安全的应用漏洞扫描器中有证书弱校验、主机名弱校验、webview未校验证书的检测项，这些检测项是针对APP采用HTTPS通信时容易出现风险的地方而设。接下来介绍一下安全使用HTTPS的相关内容。

为了防止它们，要采取很多编程措施，非常麻烦。很多人提出，能不能根本上解决问题，浏览器自动禁止外部注入恶意脚本？这就是"网页安全政策"（Content Security Policy，缩写 CSP）的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。​​

这段时间最火的漏洞当属阿联酋的人权活动人士被apt攻击所使用的iOS PEGASUS（又称Trident三叉戟）0day漏洞了。为了修复该漏洞，苹果专门发布了一个iOS 9.3.5版本。这个漏洞的厉害之处在于可以直接从沙盒内对内核进行攻击(无需沙盒逃逸)，并且同时影响iOS(9.3.4)和OS X (10.11.6)。因此，本篇文章将会从PEGASUS漏洞形成的...